Как добавить настраиваемое поле для событий в Splunk?
Для меня ключом «+» был ключ! Это мой класс (это вложенный):
namespace PortalServices
{
public class PortalManagement : WebService
{
public class Merchant
{}
}
}
и эта строка кода работала:
Type type = Type.GetType("PortalServices.PortalManagement+Merchant");
2 ответа
Вы оказываете себе медвежью услугу, тестируя Splunk с такими минимальными событиями. Они не дают вам возможности увидеть, на что способен Splunk. Вы получаете только поля по умолчанию, потому что Splunk не знает, что делать с одним словом. Если бы вы что-то вроде "foo = bar", то вы увидели бы, что Splunk создает поле 'foo'.
На каждом компьютере есть как минимум один файл журнала, который вы можете использовать для тестирования Splunk.
Можно добавлять поля к событиям, используя преобразования. Это сложная тема, которую нельзя сделать с помощью графического интерфейса. Я предлагаю вам научиться ходить, используя лучшие образцы данных, прежде чем пытаться бежать.
Я также хотел бы отметить, что я отправлял события через Splunk SDK.
Чтобы получить поля, которые я хотел показать в событии, я должен был представить данные события в качестве имени события.
var myindexes = service.indexes();
// Submit an event to the index
myindexes.fetch(function (err, myindexes) {
let myindex = myindexes.item("audits-client");
let evtData = {
timestamp: Date.now(),
userAgent: headers['user-agent'],
protocol: "http",
file: "null"
}
myindex.submitEvent(evtData, {
sourcetype: "web"
}, function (err, result, myindex) {
console.log("Submitted event: ", result);
return result
});
});